網(wǎng)絡(luò)公司發(fā)現(xiàn)了與IoT設(shè)備，消息隊(duì)列遙測(cè)傳輸（MQTT）和約束應(yīng)用協(xié)議（Co2P）中使用的兩種流行的機(jī)器對(duì)機(jī)器（M2M）協(xié)議相關(guān)的主要設(shè)計(jì)缺陷和易受攻擊的實(shí)現(xiàn)。

該公司的新報(bào)告通過(guò)濫用這些協(xié)議揭示了工業(yè)間諜，拒絕服務(wù)和有針對(duì)性攻擊的日益嚴(yán)重的威脅。

在四個(gè)月的時(shí)間里，研究人員發(fā)現(xiàn)了超過(guò)200萬(wàn)條MQTT消息以及超過(guò)1900萬(wàn)條CoAP消息，這些消息是由暴露的代理和服務(wù)器泄露的。

惡意攻擊者可以使用簡(jiǎn)單的關(guān)鍵字搜索找到泄露的生產(chǎn)數(shù)據(jù)，并使用它來(lái)識(shí)別可能被濫用以執(zhí)行有針對(duì)性攻擊的資產(chǎn)，人員和技術(shù)的利潤(rùn)豐厚的信息。

物聯(lián)網(wǎng)安全問(wèn)題

網(wǎng)絡(luò)技術(shù)人員解釋了這些協(xié)議如何代表巨大的安全風(fēng)險(xiǎn)，他說(shuō)：

“我們今天在物聯(lián)網(wǎng)設(shè)備使用的兩種最普遍的消息傳遞協(xié)議中發(fā)現(xiàn)的問(wèn)題應(yīng)該是組織對(duì)其OT環(huán)境的安全性進(jìn)行認(rèn)真，全面的審視。這些協(xié)議在設(shè)計(jì)時(shí)并未考慮安全性，但在越來(lái)越廣泛的關(guān)鍵任務(wù)環(huán)境和用例中都可以找到。這代表了主要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。擁有適度資源的黑客可以利用這些設(shè)計(jì)缺陷和漏洞進(jìn)行偵察，橫向移動(dòng)，隱蔽數(shù)據(jù)竊取和拒絕服務(wù)攻擊。“

該公司的研究表明，攻擊者可以通過(guò)利用MQTT和Co2P協(xié)議設(shè)計(jì)，實(shí)施和部署設(shè)備中的安全問(wèn)題來(lái)遠(yuǎn)程控制物聯(lián)網(wǎng)端點(diǎn)或拒絕服務(wù)。

此外，黑客可以通過(guò)濫用這些協(xié)議中的特定功能來(lái)維持對(duì)目標(biāo)的持久訪問(wèn)，從而在網(wǎng)絡(luò)上橫向移動(dòng)。